導入事例紹介
株式会社エミネット様
2000年代初頭のインターネットの普及、2010年代のスマートフォンの普及、そして近年では「巣ごもり需要」の増大により、拡大を続けているEC市場。デジタルシフトにともなうオンライン注文の増加によって、通販企業に求められるセキュリティレベルもますます高くなっている。株式会社エミネットでもオンライン注文の拡大によって生まれるセキュリティリスク対策として、2014年よりWAF「Scutum」を導入。その経緯や長期にわたるWAF運用での使用感などをうかがった。
※本取材はオンラインにて実施しました。
| 規模 | セキュリティ担当者 | 業種 | 導入対象 |
|---|---|---|---|
| 1~50名 | - | 製造・メーカー | ブランド/製品/情報提供サイト・ECサイト |
| 課題 |
|
|---|---|
| 決め手 |
|
| 効果 |
|
株式会社エミネット
取締役 企画部 部長 内田泰介 様【写真左】
IT推進室 室長 横山英視 様【写真右】
増加する顧客情報を守るため、「シェアNo.1」「自社運用不要」のWAFを導入
Scutumを導入されている、御社のオンラインショップについてお聞かせください。
企業理念の一つである「商品とサービスを通してお客様に幸せと感動を届ける」という想いから、2000年に通信販売事業をスタートしました。主力商品の「天使のララ」は、新規顧客向けの「お試し購入(以下:お試し)」と、リピーター向けの「定期購入(以下:定期)」があり、これまでは電話、はがき、FAX等のオフラインによる注文が多数でした。しかし、8年ほど前から「お試し」専用のランディングページを運用し、電子メールおよびWebサイトでのオンライン注文がどんどん拡大しました。
オフライン/オンラインでの注文の割合はどの程度なのでしょうか?
「お試し」専用のランディングページを運用してから2~3年後に、オンラインによる「お試し」の注文数が過半数に達しました。「お試し」の販促がWEB中心になった今では、ほぼ100%がオンライン経由です。オンライン導入により、24時間365日、いつでも注文を受け付けることができるので非常に助かっています。それでも、「お試し」を購入された後に「定期」へお申し込みをいただく経路は、オフラインとオンラインが半々です。また、オフラインとオンラインの利用割合において、実は年齢による差はあまりありません。ご高齢の方でもITに強い方がいらっしゃれば、ITに弱い若い方もいらっしゃいます。目まぐるしい早さでデジタルテクノロジーが進んでいる昨今ですが、オンライン一辺倒の販促で機会損失に繋がらないよう、オフラインとオンラインを組み合わせた販売促進をこれからもうまく取り入れていきたいと思います。
Scutumの導入理由や決め手はどのような点だったのでしょうか?
オンラインショッピングにつきまとう最大のリスクは、やはり情報漏えいです。通販事業開始当初、わずか10数名だった定期購入者は、現在ではある程度の規模になりましたので、ますます顧客情報の漏えいはビジネスに大きなダメージを与えます。そのような事態を防ぐため、エミネットの公式オンラインショップでは、サイト自体のセキュリティ対策と合わせて、セキュリティを高めるために、2014年からScutumを導入しています。導入時の担当者から聞いたところでは、シェアNo.1の安心感と、社内では難しいWAFの運用をすべてお任せできる点が導入の決め手になりました。
7年にわたる長期継続利用での安定したセキュリティを実感。
気軽に相談できる担当者からの、手厚いサポートが高い満足度を生む
7年目という長年ご利用いただくなかで、「Scutumでよかった」と感じられたエピソードがありましたらお聞かせください。
私が担当となったあとの2016年に、ソフトウエア型のカートシステムからSaaS型のオンラインカートへと移行するプロジェクトが始まりました。その際、Scutumをそのまま使用したいと希望したところ、ベンダーにScutumの利用実績がないため、Scutumとは別のWAFを提案されるという問題に直面しました。その際も「SSTには、いろいろ教えてもらえる」と聞いていたので、SSTの担当者にすぐ相談しました。一時は私も諦めかけたのですが、SSTのサポートのおかげでベンダーの了解も得られ、スムーズにScutumをそのまま継続利用することができました。その後今日まで安定して稼働していますので、そのときに諦めなくて本当によかったと感じています。
ありがとうございます。セキュリティ機能の面ではいかがでしょうか。
2018年の初めごろから、弊社の問い合わせフォームに日本語以外の言語でのスパムが大量に入力される事案が発生しました。多いときには一晩で2,000件も書き込みがあり、この処理や対策が大変な負担になっていましたが、ベンダーと調整したうえでさまざまな対策を行いました。最終的には入力元のIPアドレスをモニタリングして、そのIPアドレスからの通信をScutumの特定のIPアドレスからの通信を拒否する機能を使って排除する対策に至りました。その後も、断続的に攻撃が続いていたものの、そのつどIPアドレスをリストに追加していき、昨年の12月を最後に攻撃が途絶えている状態です。再度、新たなIPアドレスから攻撃が来る可能性は十分ありますが、来たとしてもベンダーに頼らずにScutumの管理画面から弊社内でIPアドレスを追加すればすぐに対応できるため、大変助かっています。
Scutumの機能を活用いただけて、こちらもうれしいです。
もう1点、Scutumでブロックした通信をログに残せる機能があります。これを定期的に記録して社内でのセキュリティ対策の報告に活用しています。攻撃を未然に防ぐWAFの性質上、防御の効果が可視化できず説明が難しくなりがちですが、攻撃件数やブロックした通信数の推移を数値化するだけでも「しっかり防御している」という安心感や実感の共有につなげることができます。
セキュリティ専門企業からの的確なアドバイスが今後も重要に
IT推進室では、どのようにセキュリティに関する情報収集や社内教育を行っているのでしょうか。
各社の提供するオンラインセミナーへの参加や、ネット上のセキュリティやインシデントに関するコンテンツから情報収集しています。また、情報セキュリティ関係のすべてをIT推進室で管轄しているため、社内教育用の情報収集も欠かせません。攻撃メールには、迷惑メールフィルターをくぐり抜けてしまうものもあるため、社内で標的型攻撃の事例を共有しています。万が一、不審なメールが届いたらリンクをクリックしたり、添付ファイルを開いたりせず、すぐにIT推進室に連絡するよう社内グループウエアで共有するなど、定期的に情報セキュリティ研修や重要事項の修練を行い対策を徹底しています。
今後、SSTに期待することがありましたら、お教えください。
先日も私のところにセキュリティに関する営業メールがあったのですが、弊社のサイトにセキュリティ上の問題があると脅迫めいた文言で迫る内容で、念のためにSSTの担当者に相談しました。早速、アドバイスをいただき、無事に対処できました。セキュリティインシデントは自然災害のようなもので、たとえ十分な対策をとっていたとしても、今後も起きないとは限りません。セキュリティインシデントが生じた際には、WAFの範囲外を超えて、Webセキュリティ専門会社としての的確で迅速なサポートやアドバイスいただけると、弊社としても大変助かります。
■ 株式会社エミネット様 ご紹介
鳥取県米子市で2000年3月に美と健康をテーマに有限会社エミネット(現 株式会社エミネット)が設立される。同年4月から通販を開始した「天使のララ」は20年以上にわたるロングセラー商品となっている。社名の由来は「1人でも多くの人にほほ笑みのネットワークを広げたいという思い」から名付けられた。